防火墙配置策略.ppt

单击此处编辑母版标题样式,*,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,第,3,章 防火墙配置策略,学习目标：,（,1,）建立反映公司全面安全方法的防火墙规则,（,2,）理解防火墙配置的目的,（,3,）标识和实现不同的防火墙配置策略,（,4,）采用几种方法为防火墙添加功能,1/24/2026,1,3.1,对防火墙建立规则和约束,通过设置规则来训练防火墙，规则可以通过一些特殊的标准告诉计算机哪些信息包可以进入，哪些不可以。,3.1.1,规则的作用,对防火墙所设立的数据包过滤的规则实现了安全策略所指定的安全方法。限制性的方法将在默认阻断所有访问的一组规则中得以实现，然后限制特定类型的通信量通过。,1/24/2026,2,3.1.2,限制性的防火墙,如果建立的防火墙的目的是防止未经授权的访问，那么重点应该发挥它的限制作用，而不是启用它的连通性。,可以用以下方法实现公司防火墙策略的特殊部分：,（,1,）讲清楚雇员不能使用的服务。,（,2,）使用并且维护口令。,（,3,）采用开放式的安全方法。,1/24/2026,3,（,4,）采用乐观的安全方法。,（,5,）采用谨慎的安全方法。,（,6,）采用严格的安全方法,（,7,）采用偏执的安全方法。,1/24/2026,4,限制性防火墙方法,方 法,作 用,优 点,缺 点,Deny-All,除特别允许的数据包外，阻断所有的数据包,更好的安全性的规则要求较少,可能导致用户不满,In Order,按从上到下的顺序处理防火墙规则,较好的安全性,不当的顺序可能导致混乱,Best Fit,防火墙决定规则的处理顺序，一般从最特殊的规则到最普遍的规则,易于管理，减少了操作失误的风险,缺少控制,1/24/2026,5,3.1.3,侧重连通性的防火墙,如果防火墙的主要功能是准许通信（允许通过网关的连接）应该培养员工使用网络的责任感,方 法,作 用,优 点,缺 点,Allow-All,允许所有的包通过，但特别指定需阻断的包除外,容易实现,安全性小，规则复杂,Port80/,除,Video,允许无限制的上网浏览，但视频文件除外,用户可以上网浏览,网络容易受到来自,Web,中的攻击,1/24/2026,6,3.2,防火墙配置策略：总的观点,没有两个绝对一样的防火墙。防火墙应当具有伸缩性，可以随着它所保护网络的发展而升级。,3.2.1,可伸缩性,3.2.2,生产效率,防火墙的功能越强大，数据的传送速度可能越小。可供堡垒主机使用的处理资源和内存资源是防火墙的两个重要特征。,1/24/2026,7,3.2.3,处理,IP,地址问题,DMZ,和服务网络都需要,IP,地址。尽量向,ISP,申请尽可能多的地址，否则就需要用到,NAT,，将内部网络改为私有地址,IP,转发功能使得网络的,OSI,接口堆栈之间可以传递信息包。大部分的操作系统都执行,IP,转发功能。,1/24/2026,8,3.3,不同的防火墙配置策略,3.3.1,屏蔽路由器,在客户计算机和,Internet,之间放置一个路由器，使之执行包过滤功能，这是最简单的保护方法之一。屏蔽路由器对内部网络中的个人计算机执行数据包过滤的功能。,路由器有两个接口：与外部网络连接的外部接口和被保护的内部网络相连的内部接口。每个接口都有它自己唯一的,IP,地址。,1/24/2026,9,3.3.2,双宿主主机,双宿主主机即带有两个网络接口的计算机（他有两个网卡）。,缺点：主机充当公司的单一入口,1/24/2026,10,3.3.3,屏蔽式主机,屏蔽式主机有时也叫作双宿主网关或者堡垒主机。,屏蔽式主机除了必要的安全服务和,TCP,、,UDP,端口禁用机制以外，堡垒主机的设置几乎包括所有必须的服务，所有相关的安全事件都已记入日志。,与双宿主主机区别：前者主机专用于执行安全功能。在屏蔽式主机和,Internet,之间加入路由器进行,IP,数据包的过滤。,1/24/2026,11,3.3.4,两个路由器共用一个防火墙,将一个路由器配置在作为防火墙的屏蔽式主机的一侧，配置在网络外侧的路由器可以执行原始的静态包过滤功能。配置在内部的路由器可以跟踪处在被保护的局域网内部的计算机的通信。,多配置一个路由器可以在局域网和外部网络之间增加了一层防护。,1/24/2026,12,3.3.5 DMZ,屏蔽子网,DMZ,网络处在内部网络的外部，但他连接到防火墙，提供公共服务器，通过添加提供公共服务的服务器并把它们组合到防火墙的子网中，就创建了屏蔽子网。,有时又把,DMZ,屏蔽子网内部的防火墙叫做三叉式防火墙，防火墙分别和三个独立的网络（外网、,DMZ,屏蔽子网和受保护的局域网）连接，因此需要三个网卡。,1/24/2026,13,三叉式防火墙由于只使用一个防火墙，他的优缺点如下：,（,1,）设置简单,（,2,）规则复杂,（,3,）开销较少,（,4,）易受攻击,（,5,）性能较低,1,）包含,Web,服务器和邮件服务器的服务网络,2,）具有,DNS,服务器的服务网络,3,）具有隧道服务器的服务网络,1/24/2026,14,3.3.6,多重防火墙,DMZ,1.,两个防火墙，一个,DMZ,；这种配置也叫三宿主防火墙，也指连接三个接口的单个防火墙。这三个接口是防火墙所保护的内部网络、服务网络和,Internet,。,使用原因：,（,1,）一个防火墙可以监控,DMZ,和,Internet,之间的通信，另外一个可以监控受保护的局域网和,DMZ,之间的通信。,1/24/2026,15,（,2,）第二个防火墙可以作为故障切换防火墙。,优点：可以控制三个网络内部通信的走向：位于,DMZ,外部的外部网络、处在,DMZ,内部的外部网络和位于,DMZ,之后的内部网络。,2.,双防火墙、双,DMZ,使用多重防火墙可能会使安全设置更加复杂，但他赢得了更高的灵活性。,3.,可以保护分支机构的多重防火墙,公司总部通过集中的防火墙和在其安全工作站所建立的相关规则来开发和部署安全策略。每个子公司的防火墙由总部建立和控制安全策略并被复制到子公司的其他防火墙上。,1/24/2026,16,4.,通过防火墙分层实现负载分布,使用多重防火墙的负载平衡网络中，典型网络组件如下：,（,1,）入站和出站,SMTP,可以分配到两个服务器中,（,2,）入站和出站,HTTP,可以分配到两个计算机中。,（,3,）中央服务器可以用来记录所有系统日志,（,4,）中央处理器也可以被指定用来支持入侵检测系统,1/24/2026,17,3.3.7,反向防火墙,不是阻断进入的信息，而是监视从网络出去的信息。可以阻止,DDoS,。,3.3.8,专用防火墙,专用于保护特殊类型的网络通信，如特别关注邮件或即时信息发送安全就用专业防火墙,1/24/2026,18,3.4,为防火墙添加新功能的方法,3.4.1 NAT,把公共,IP,地址转变为专用地址，可以对外部的计算机隐藏受保护网络上计算机的,IP,地址,3.4.2,加密,也可以在主机上使用加解密软件。,3.4.3,应用程序代理,网关的功能,3.4.4 VPN,3.4.5,入侵检测系统（,IDS,）,1/24/2026,19,